Cloud computing: Negoziazione di contratti cloud
Il contratto tra la vostra azienda e un potenziale fornitore di nube può essere più complesso rispetto alla maggior parte, così vale la pena il tempo per garantire a che farlo bene.
Vic (J.R.) Winkler
Tratto da "Securing the Cloud" (Syngress, un'impronta di Elsevier)
Una volta che avete limitato la selezione dei fornitori di servizi cloud, è necessario sedersi con il tuo provider e compitare e concordare i particolari del contratto reale. Dipendono i servizi per i quali vi siete contraenti, questo può non essere una questione negoziabile a tutti. Il contratto può essere limitato ad un on-linea click-through accordo che è neanche accettare o you don't.
Dovuta diligenza ovviamente giocherà gran parte nel decidere che cosa avete bisogno in termini di un contratto. Se avete bisogno di un contratto su misura, è possibile eliminare immediatamente un certo numero di fornitori. La maggior parte dei servizi cloud è meno probabile che coinvolgono i contratti su misura da tradizionale di hosting o contratti di outsourcing. L'economia di cloud computing modello di provider di servizio (per fornitore e cliente) che rendono il caso.
Ci saranno molti scenari dove accetti un accordo da un fornitore di click-through. Questo è dovuto sia risparmio finanziario (sia in termini di trattative contrattuali minime e i costi in corso dal fornitore) o il profilo di rischio basso della vostra applicazione o dati. Tuttavia, dovreste anche guardare il quadro più ampio e definire una strategia e una procedura per la vostra azienda potrebbe essere necessario distribuire le applicazioni future.
Avendo altre business unit vuole seguire il piombo senza fare una piena misura di dovuta diligenza è un altro rischio. Spesso una parte del business possa vedere che si sta utilizzando un'infrastruttura cloud. Quell'altra unità aziendali possono optare per distribuire le applicazioni nello stesso modo, senza passare attraverso il rigore di determinare o meno la soluzione è appropriata per le nuove applicazioni. Avere ben definiti standard aziendali e le procedure in atto farà in modo che le applicazioni canaglia non vengono distribuite che possono violare il vostro modello di sicurezza — o, peggio, che non sono conformi con uno o più regolamenti, da cui è associata la vostra azienda.
Quando si tratta di punti che desiderati per negoziare all'interno del vostro contratto, garantire che le tue esigenze sono definite in modo che il provider in grado di capire e a cui il provider può convenire. Ad esempio, specificando che si svolgerà secondo le norme Health Insurance Portability and Accountability Act (HIPAA) dati potrebbe essere significativo alla vostra azienda. Tuttavia, il provider nube può non comprendere appieno la legge o le sue implicazioni. Se sapete che si desidera che il fornitore per garantire la separazione dei compiti, personale di screening, riservatezza dei dati o altre misure di sicurezza, è necessario definire completamente questi parametri.
Requisiti client sono onerose per i provider cloud gestire quando ogni client presenta i loro requisiti in un modo unico e non standard. Per un provider, wading attraverso numerose richieste da più client potenziali mangia in redditività. Il modello di nube favorisce l'allocazione di risorse on-demand, trattative contrattuali non su richiesta.
Piuttosto che avere un fornitore di servizi di nube rispondere alle numerose richieste di contratto potenziale cliente, ci sono un certo numero di accreditamenti esterni possono ottenere i provider che dovrà fornire prove che entrambi hanno attuato la protezione appropriata e seguire la sicurezza suono delle pratiche. Uno di questi è la dichiarazione sul n. Auditing Standards (SAS) 70, comunemente noto come un audit SAS 70. Questo è stato originariamente pubblicato dalla American Institute of Certified Public Accountants (AICPA).
Questa revisione è destinata alle organizzazioni di servizio e è progettata per garantire che una società ha garanzie e controlli adeguati, quando si tratta di hosting o di elaborazione dei dati appartenendo a uno dei suoi clienti. Una società che ha un certificato SAS 70 è stata verificata da un revisore esterno. Tale revisore ha trovato gli obiettivi di controllo e attività per essere accettabile secondo i requisiti di SAS 70. La legge Sarbanes-Oxley sezione 404 si riferisce al processo di reporting sull'efficacia dei controlli interni sulla sua rendicontazione finanziaria.
Implementazione
Il ciclo di vita del processo di contratto non si conclude quando viene firmato il contratto. Avete valutare continuamente lo stato per tutto il mandato dell'accordo. Questo sarà ovviamente meno rigoroso con un accordo, click-through, al contrario di un contratto negoziato.
Anche con un accordo di click-through, però, è necessario valutare il fornitore nube per garantire che i servizi contrattati vengano recapitati in realtà. Ad esempio, se si contrarre il vostro fornitore di eseguire aggiornamenti del sistema operativo, sarà necessario verificare che questo è intrapreso il modo e il tempo specificato. Controlli in tutte le politiche e le procedure che sono stati oggetto di contratto per sono state seguite sono importanti, anche se questi possono essere difficili come provider della nube e aziendali possono essere in diversi Stati o paesi.
Per tutta la durata del contratto, voi e la vostra azienda è necessario rivalutare le proprie esigenze e il profilo di rischio mutevole — che può essere dovuto la necessità o il desiderio di distribuire applicazioni diverse o dati nella nube. Può anche avere a che fare con le modifiche a leggi e regolamenti che l'impresa deve rispettare. Inoltre, qualsiasi accreditamento esterno il fornitore ha — ad esempio un certificato SAS 70 — deve essere verificata per accertare che siano rinnovati e non revocati a causa di mancata conformità.
Terminazione (fine del termine o anormale)
Quando arriva la fine del termine del contratto, se a causa di raggiungere il termine o la causa dell'interruzione anomala, ci sono alcune esigenze specifiche che devono considerare con attenzione. Questo periodo di transizione è quando i dati sono al massimo rischio. Interruzione anomala può verificarsi a causa di una serie di fattori, come ad esempio:
- Provider di nube cessazione di attività
- Violazione del contratto, da una parte
- Fallimento
Durante questo periodo, la tua volontà essere probabilmente più coinvolto con un venditore di sostituzione di spendere tempo e sforzo attuale fornitore di polizia di sourcing. I dati saranno ancora sui sistemi del fornitore e nei loro backup. Si può optare per rimuovere questi dati piuttosto prima che poi, seconda del suo livello di riservatezza. Ovviamente, se il contratto è risolto (per qualsiasi motivo) il fornitore nube può essere inferiore a disposto assistere nella vostra pulitura dati.
È possibile definire che cosa richiede in caso di cessazione di contratto originale, avrete una buona base giuridica per garantire dati viene rimosso e puliti come richiesto. Secondo il provider nube in una giurisdizione diversa e i vostri dati possono essere conservati altrove, questo può essere un rischio maggiore che è necessario accettare o bene è stato definito nel contratto.
Trasferimento del fornitore
Se si trasferiscono il servizi da un fornitore ad un altro, a cessazione del contratto oppure durante la durata del contratto, è necessario prendere in considerazione molti degli stessi fattori che sono stati discussi nella sezione precedente. Sarà inoltre necessario definire un piano per come trasferire i dati in modo sicuro tra i fornitori.
Dipende dalla quantità di dati interessati, si può solo riportarlo alla vostra organizzazione. Poi si può caricare al nuovo fornitore. Si potrebbe anche considerare trasferirlo direttamente tra due venditori. Qualunque metodo utilizzato, sarà necessario garantire che i dati sono al sicuro per ciascuno dei trasferimenti, forse usando la crittografia per i dati, mentre è in transito.
Sarà necessario considerare a fondo e gestire questi fattori quando la redazione, revisione e l'approvazione di un contratto con un fornitore di nuvola. Si stanno entrando in un rapporto potenzialmente a lungo termine, quindi avrete bisogno assicurare che le aspettative e le responsabilità sono sufficientemente chiari.
.jpg)
Vic (J.R.) Winkler è un senior associate presso Booz Allen Hamilton Inc., fornendo consulenza tecnica principalmente Stati Uniti clienti di governo. Egli è una sicurezza delle informazioni pubblicate e cyber ricercatore per la sicurezza, nonché esperto di intrusione e di rilevazione delle anomalie.
© 2011 Elsevier Inc. Tutti i diritti riservati. Stampato con il permesso di Syngress, un'impronta di Elsevier. Copyright 2011. "Protezione della nube" da Vic (J.R.) Winkler. Per ulteriori informazioni su questo titolo e di altri libri simili, visitare elsevierdirect.com.